【漏洞对象】SolarWinds Orion 【涉及版本】SolarWinds Orion 2020.2.1 HF 2 及 2019.4 HF 6之前的版本 \ 【漏洞描述】SolarWinds Orion是一个强大、可扩展的基础架构监视和管理平台，它用于以单个界面的形式简化本地、混合和软件即服务 (SaaS) 环境的 IT 管理。SolarWinds Orion API 嵌入在 Orion Core 中，被用于与所有 SolarWinds Orion Platform 产品进行接口。通过在URI请求的Request.PathInfo 部分中包含特定参数，可以绕过 API 身份验证，这可能允许攻击者执行未经身份验证的 API 命令。如果攻击者将WebResource.adx，scriptResource.adx，i18n.ashx 或 Skipi18n 的 PathInfo 参数附加到对 SolarWinds Orion 服务器的请求，SolarWinds 可能会设置 SkipAuthorization 标志，该标志可能允许处理API请求无需身份验证。

将 SolarWinds 软件升级至安全版本。 SolarWinds 为商业软件，可联系 swisupport@solarwinds.com 以获取进一步支持。